Microsoft hat den Malware-Signing-Dienst Fox Tempest zerlegt. Über 1.000 missbräuchlich ausgestellte Code-Signing-Zertifikate wurden widerrufen, die Klage am 19. Mai 2026 in New York unsealed. Damit liefert die Digital Crimes Unit ihren ersten öffentlichen Schlag gegen Malware-Signing-as-a-Service.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Mit der Disruption von Fox Tempest macht Microsoft ein Geschäftsmodell sichtbar, das jahrelang im Schatten von Ransomware-Angriffen mitlief. Stellen Sie sich vor, ein Krimineller buchte 5.000 bis 9.500 US-Dollar pro Signatur und bekam dafür Schadcode mit gültigem Microsoft-Zertifikat zurück. Genau diese Dienstleistung gab es bei Fox Tempest auf Knopfdruck.
Das Wichtigste in Kürze
- Microsoft Digital Crimes Unit zerlegt Fox Tempest und widerruft über 1.000 Zertifikate
- Preise zwischen 5.000 und 9.500 US-Dollar pro Code-Signing-Auftrag
- Kunden waren Vanilla Tempest, Rhysida, Akira, INC, Qilin und BlackByte
- Klage am 19. Mai 2026 vor dem US District Court Southern District of New York unsealed
Wie das Geschäftsmodell funktionierte
MSaaS. Fox Tempest betrieb Malware-Signing-as-a-Service mit eigenem Kunden-Portal und Drag-and-Drop-Upload. Wer eine ausführbare Datei hochlud, bekam sie mit einem gültigen Microsoft-Artifact-Signing-Zertifikat signiert zurück. Damit konnten Schadcode-Hersteller ihre Programme an Endpoint-Schutz, SmartScreen und Defender vorbeischleusen. Das Ergebnis war eine Industrialisierung der Code-Signing-Fälschung.
Kundenkreis. Microsoft listet Vanilla Tempest, Rhysida, Akira, INC, Qilin, BlackByte sowie weitere Storm-Gruppen als Abnehmer. Damit landet Fox Tempest in der Lieferkette praktisch jeder ernstzunehmenden Ransomware-Operation der letzten zwölf Monate. Die Disruption wurde Anfang Mai 2026 per Gerichtsbeschluss in New York eingeleitet und durch die offizielle Microsoft-Mitteilung am 19. Mai bestätigt.
Wer Code-Signing fälschen kann, hebelt die zentrale Vertrauenskette moderner Software aus. Microsofts Klage ist die erste juristische Antwort, die genau diese Stelle adressiert.
— Markus Seyfferth, Chefredakteur Dr. Web
Was Mittelständler jetzt prüfen sollten
Endpoint-Logs. Prüfen Sie für die letzten zwölf Monate, ob im EDR-System ungewöhnliche signierte ausführbare Dateien aufgetaucht sind. Microsoft hat die Zertifikate widerrufen, aber bereits eingespielte Binaries sitzen weiterhin auf den Endpunkten. Saubere Forensik fängt mit einer ehrlichen Logauswertung an.
Vertrauen prüfen. Code-Signing ist ein Vertrauensanker, kein Sicherheits-Beweis. Wer Sicherheits-Strategien aufbaut, sollte Signatur-Prüfung mit Verhaltensanalyse, Application Whitelisting und Netzwerk-Segmentierung kombinieren. Den Rahmen liefert der Pillar zu Cybersecurity-Grundlagen für 2026, ergänzend zeigen die Fälle Elementor und FunnelKit, wie schnell vermeintlich vertrauenswürdige Komponenten zur Bedrohung werden.
Für Geschäftsführungen lohnt eine harte Frage. Welcher Prozess prüft im Haus, ob ein neu installiertes Programm tatsächlich aus einer vertrauenswürdigen Quelle stammt? Wenn die Antwort beim Endgerät endet, ist die Lieferkette ungeschützt. Fox Tempest war ein Lieferanten-Problem, kein Endpoint-Problem.
Mehr Newshunger?
